Privacy, in gewone taal
Geen accounts. Geen advertenties. Geen trackers. Hieronder leggen we precies uit wat dat betekent — en waar de grenzen van die belofte liggen.
Wat er waar staat
| Wat | Waar het staat | Wat onze server ziet |
|---|---|---|
| Je lijstjes, namen van lijstjes en leden | Alleen op je eigen toestellen | Alleen versleutelde brij — onleesbaar |
| De sleutel waarmee alles versleuteld is | Veilig opgeslagen op je toestel; kort zichtbaar in een uitnodigingslink | Nooit — uitnodigingen zijn zelf ook versleuteld |
| Locatie, winkel-herinneringen, opgeslagen winkels | Alleen op je toestel | Niets — onze server accepteert helemaal geen locatiegegevens |
| Wie jij bent | Een willekeurig apparaat-ID en een sleutelpaar — geen naam, geen e-mail, geen account | Alleen dat willekeurige ID en een pushtoken |
| Onvermijdelijke restjes (metadata) | — | Welke (willekeurige) apparaten bij welke (willekeurige) groep horen, ruwweg wanneer er iets verstuurd is, en hoeveel data — plus je IP-adres op verbindingsniveau (niet opgeslagen of gelogd) |
Wat we wél doen
- Geen accounts, geen advertentie-SDK's, geen analytics- of trackingsoftware.
- Crashmeldingen bevatten nooit de inhoud van je lijstjes (persoonlijke gegevens worden eruit gefilterd), en je kunt dit uitzetten.
- De broncode van de app is openbaar, zodat iedereen kan controleren of dit klopt.
Wat we niet beloven — het eerlijke verhaal
Versleuteling beschermt je tegen nieuwsgierige buitenstaanders, datalekken en het verzamelen van jouw gegevens voor commerciële doeleinden — niet tegen elk denkbaar scenario. Concreet:
- We claimen geen "forward secrecy" per bericht of bescherming na een gecompromitteerd toestel (post-compromise security) — dit zijn geavanceerde cryptografische garanties die dit ontwerp bewust niet nastreeft.
- Iedereen die je in een groep uitnodigt, kan per ontwerp alles in die groep lezen — het is tenslotte hun lijstje ook. Vinkt beschermt niet tegen een groepslid dat je vertrouwt maar dat het vertrouwen misbruikt.
- Onze aanname: je hoeft ons (de serverbeheerder) niet blind te vertrouwen — het dreigingsmodel richt zich op nieuwsgierige derden, datalekken en datahandel, niet op een kwaadwillend groepslid.
Vragen over dit privacybeleid? Zie het Impressum voor contactgegevens.